维护者警告要修补所有版本的开源Web应用程序框架 - 即使是那些不易受伤害的版本beplay体育能用吗
Antgroup FG安全实验室的研究人员发现了一个关键的安全漏洞,使攻击者可以在Grails应用程序运行时远程执行代码。
圣杯是一个开源beplay体育能用吗Web应用程序框架基于Apache Groovy编程语言,用于开发敏捷Web应用程序。客户包括Google,IBM,Walmart,Credit Suisse和MasterCard。
使用CVE-2022-35912跟踪的缺陷使攻击者得以远程执行代码在Grails应用程序中,运行时发出专门精心设计的Web请求,该请求可以使攻击者访问类加载程序。beplay体育能用吗
攻击利用了Grails数据结合逻辑的一部分,该逻辑以多种方式调用,包括创建命令对象,域类构建和使用BindData时手动数据绑定。
该漏洞已在Grails框架版本上得到证实3.3.10及更高版本,包括Grails Framework 4和5,它们在Java 8上运行。在嵌入式的Tomcat运行时和应用程序中都观察到了它的网络存档(WAR)(战争)beplay体育能用吗一个tomcat实例。
“由于这种脆弱性的性质,我们强烈建议将所有Grails应用程序(包括不容易受到此特定攻击的应用程序)更新为修补的Grails版本,” Grails团队在博客文章中指出。
“虽然我们无法在3.3.10之前在Java 11或Grails框架中运行的应用程序中复制此特定利用,但脆弱性的性质使得可以发现攻击的变化可以发现较早的Grails释放,释放的Grails释放,在更高版本的Java上运行的Grails应用程序将受到影响。”
可用的补丁
现在已经对版本5.2.1、5.1.9、4.1.1和3.3.15进行了修补,并且团队建议升级到修补版本。Grails 4.X应用程序可以升级到4.1.1版或更高版本,Grails 5.0.x和5.1.x应用程序可以升级到5.1.9或更高,而Grails 5.2应用程序可以升级到5.2.1或更高。
该团队写道:“ Grails Foundation和Grails Core Development团队非常重视应用程序安全。”“我们正在继续研究和监测这一漏洞。”
